close

Вход

Забыли?

вход по аккаунту

код для вставкиСкачать
Приложение №1
УТВЕРЖДЕНЫ
постановлением
Администрации города Тамбова
22.04.2013 № 3536
ПРАВИЛА
обработки персональных данных в Администрации города Тамбова
1. Общие положения
Настоящие
Правила
обработки
персональных
данных
в
Администрации города Тамбова (далее - Правила) направлены на
предотвращение нарушений законодательства Российской Федерации,
регулирующего обработку персональных данных (далее - ПДн), а также
определяющие содержание обрабатываемых ПДн, категории субъектов, ПДн
которых обрабатываются, сроки их обработки и хранения, порядок
уничтожения ПДн при достижении целей обработки ПДн.
Правила разработаны в соответствии с федеральными законами от
27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и
о защите информации», от 27 июля 2006 г. № 152-ФЗ «О персональных
данных», Трудовым кодексом Российской Федерации, постановлением
Правительства Российской Федерации от 21 марта 2012 г. № 211
«Об утверждении перечня мер, направленных на обеспечение выполнения
обязанностей, предусмотренных Федеральным законом «О персональных
данных» и принятыми в соответствии с ним нормативными правовыми
актами, операторами, являющимися государственными или муниципальными
органами», требованиями к защите персональных данных при их обработке в
информационных системах персональных данных, утвержденными
постановлением Правительства Российской Федерации от 01 ноября 2012 г.
№ 1119, нормативными и методическими документами по технической
защите информации Гостехкомиссии России, ФСТЭК России и ФСБ России,
постановлением Правительства Российской Федерации от 15.09.2008 №687
«Об утверждении Положения об особенностях обработки персональных
данных, осуществляемой без использования средств автоматизации».
2. Категории субъектов ПДн
В Администрации города Тамбова осуществляется обработка ПДн
следующих субъектов ПДн:
муниципальных служащих;
кандидатов, участвующих в конкурсе на замещение вакантных
должностей муниципальной службы, на включение в кадровый резерв;
2
Продолжение приложения №1
граждан, включенных в кадровый резерв муниципальной службы;
граждан, направляющих обращения в Администрацию города Тамбова;
награждаемых юридических и физических лиц;
сведения о юридических и физических лицах, поступающие в рамках
межведомственного взаимодействия;
кандидатов в присяжные заседатели федеральных судов общей
юрисдикции Российской Федерации;
избирателей, участников референдумов по городу Тамбову;
руководителей организаций и учреждений;
собственников и арендаторов земельных участков;
собственников рекламных конструкций.
3. Принципы обработки ПДн
Обработка ПДн должна осуществляться на законной и справедливой
основе.
Обработка ПДн должна ограничиваться достижением конкретных,
заранее определенных и законных целей. Не допускается обработка ПДн,
несовместимая с целями сбора ПДн.
Не допускается объединение баз данных, содержащих ПДн, обработка
которых осуществляется в целях, несовместимых между собой.
Обработке подлежат только ПДн, которые отвечают целям их
обработки.
Содержание и объем обрабатываемых ПДн должны соответствовать
заявленным целям обработки. Обрабатываемые ПДн не должны быть
избыточными по отношению к заявленным целям их обработки.
При обработке ПДн должны быть обеспечены точность ПДн, их
достаточность, а в необходимых случаях и актуальность по отношению к
целям обработки ПДн. Должны приниматься необходимые меры по
удалению или уточнению неполных или неточных данных.
Хранение ПДн должно осуществляться в форме, позволяющей
определить субъект ПДн, не дольше, чем этого требуют цели обработки ПДн,
если срок хранения ПДн не установлен федеральным законом или иным
нормативно–правовым актом. Обрабатываемые ПДн подлежат уничтожению
либо обезличиванию по достижении целей обработки или в случае утраты
необходимости в достижении этих целей, если иное не предусмотрено
федеральным законом.
4. Цели обработки ПДн
Цели обработки
соответствовать:
ПДн
должны
быть
четко
определены
и
3
Продолжение приложения №1
заявленным в Уставе города Тамбова, положениях об органах
Администрации города Тамбова основным полномочиям и правам;
задачам и функциям Администрации города Тамбова и органов
Администрации города Тамбова (должностных лиц), указанным в
соответствующих положениях, регламентах, должностных инструкциях.
Цели обработки ПДн определяют:
содержание и объем обрабатываемых ПДн;
категории субъектов, ПДн;
сроки их обработки и хранения;
порядок уничтожения при достижении целей обработки или при
наступлении иных законных оснований.
Цели обработки ПДн должны быть:
конкретны;
заранее определены;
законны;
заявлены.
Обработка ПДн в Администрации города Тамбова осуществляется для
исполнения наделённых полномочий, организации кадровой работы,
финансовой деятельности в соответствии с действующим Уставом,
положениями, регламентами.
5. Способы и правила обработки ПДн
5.1. В Администрации города Тамбова применяется два способа
обработки ПДн:
обработка ПДн без использования средств автоматизации;
обработка ПДн с использованием средств автоматизации.
5.2. Правила обработки ПДн без использования средств автоматизации
ПДн при их обработке, осуществляемой без использования средств
автоматизации, должны обособляться от иной информации, в частности
путем фиксации их на отдельных материальных носителях ПДн (далее –
материальные носители), в специальных разделах или на полях форм
(бланков).
При фиксации ПДн на материальных носителях не допускается
фиксация на одном материальном носителе ПДн, цели, обработки которых
заведомо не совместимы. Для обработки различных категорий ПДн,
осуществляемой без использования средств автоматизации, для каждой
категории ПДн должен использоваться отдельный материальный носитель.
При использовании типовых форм документов, характер информации в
которых предполагает или допускает включение в них ПДн (далее – типовая
форма), должны соблюдаться следующие условия:
4
Продолжение приложения №1
типовая форма или связанные с ней документы (инструкция по ее
заполнению, карточки, реестры и журналы) должны содержать сведения о
цели обработки ПДн, осуществляемой без использования средств
автоматизации; имя (наименование) и адрес оператора; фамилию, имя,
отчество и адрес субъекта ПДн; источник получения ПДн; сроки обработки
ПДн; перечень действий с ПДн, которые будут совершаться в процессе их
обработки; общее описание используемых оператором способов обработки
ПДн;
типовая форма должна предусматривать поле, в котором субъект ПДн
может поставить отметку о своем согласии на обработку ПДн,
осуществляемую без использования средств автоматизации, – при
необходимости получения письменного согласия на обработку ПДн;
типовая форма должна быть составлена таким образом, чтобы каждый
из субъектов ПДн, содержащихся в документе, имел возможность
ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав
и законных интересов иных субъектов ПДн;
типовая
форма
должна
исключать
объединение
полей,
предназначенных для внесения ПДн, цели, обработки которых заведомо не
совместимы.
При несовместимости целей обработки ПДн, зафиксированных на
одном материальном носителе, если материальный носитель не позволяет
осуществлять обработку ПДн отдельно от других зафиксированных на том
же носителе ПДн, должны быть приняты меры по обеспечению раздельной
обработки ПДн, в частности:
при необходимости использования или распространения определенных
ПДн отдельно от находящихся на том же материальном носителе других ПДн
осуществляется копирование ПДн, подлежащих распространению или
использованию, способом, исключающим одновременное копирование ПДн,
не подлежащих распространению и использованию, и используется
(распространяется) копия ПДн;
при необходимости уничтожения или блокирования части ПДн
уничтожается или блокируется материальный носитель с предварительным
копированием сведений, не подлежащих уничтожению или блокированию,
способом, исключающим одновременное копирование ПДн, подлежащих
уничтожению или блокированию.
Уничтожение или обезличивание части ПДн, если это допускается
материальным носителем, может производиться способом, исключающим
дальнейшую обработку этих ПДн с сохранением возможности обработки
иных данных, зафиксированных на материальном носителе (удаление,
вымарывание).
Уточнение ПДн при осуществлении их обработки без использования
средств автоматизации производится путем обновления или изменения
данных на материальном носителе, а если это не допускается техническими
особенностями материального носителя – путем фиксации на том же
5
Продолжение приложения №1
материальном носителе сведений о вносимых в них изменениях, либо путем
изготовления нового материального носителя с уточненными ПДн.
5.3. Правила обработки ПДн с использованием средств автоматизации
Обработка ПДн с использованием средств автоматизации допускается
в следующих случаях:
обработка ПДн осуществляется с согласия субъекта ПДн на обработку
его ПДн;
обработка ПДн необходима для достижения целей, предусмотренных
законом, для осуществления и выполнения возложенных на Администрацию
города Тамбова функций, полномочий и обязанностей;
обработка ПДн необходима для исполнения договора, стороной
которого является субъект ПДн, а также для заключения договора по
инициативе субъекта ПДн;
обработка ПДн необходима для предоставления муниципальных услуг
гражданам и организациям;
обработка ПДн необходима для осуществления прав и законных
интересов Администрации города Тамбова или третьих лиц либо для
достижения общественно значимых целей при условии, что при этом не
нарушаются права и свободы субъекта ПДн;
обработка ПДн осуществляется в статистических или иных
исследовательских целях при условии обязательного обезличивания ПДн;
осуществляется обработка ПДн, доступ неограниченного круга лиц, к
которым предоставлен субъектом ПДн либо по его просьбе (ПДн, сделанные
общедоступными субъектом ПДн);
осуществляется обработка ПДн, подлежащих опубликованию или
обязательному раскрытию в соответствии с федеральным законом.
Обработка ПДн средствами автоматизации должна осуществляться на
основании правил, инструкций, руководств, регламентов и иных документов,
определяющих
технологический
процесс
обработки
информации,
содержащей такие данные, определенных для выполнения конкретных
операций с заранее определенными целями, с учетом требований настоящих
Правил.
6. Обработка ПДн с согласия субъекта ПДн
Оператор перед обработкой ПДн получает у субъектов обработки ПДн
согласие на обработку ПДн.
Согласие на обработку ПДн может быть дано субъектом ПДн или его
представителем только в письменной форме. Равнозначным содержащему
собственноручную подпись субъекта ПДн согласию в письменной форме на
бумажном носителе признается согласие в форме электронного документа,
6
Продолжение приложения №1
подписанного в соответствии с действующим законодательством
электронной подписью.
Получение согласия субъекта ПДн в форме электронного документа на
обработку его ПДн в целях предоставления муниципальных услуг,
осуществляется в порядке, установленном Правительством Российской
Федерации.
В случае получения согласия на обработку ПДн от представителя
субъекта ПДн полномочия данного представителя на дачу согласия от имени
субъекта ПДн проверяются оператором.
Допускается включение согласия в типовые формы (бланки)
материальных носителей ПДн и в договор с субъектом ПДн.
Согласие на обработку ПДн может быть отозвано субъектом ПДн
путем направления запроса в Администрацию города Тамбова.
7. Обработка ПДн без согласия субъекта ПДн
Обработка ПДн без получения согласия на такую обработку от
субъекта ПДн может осуществляться при наличии оснований,
предусмотренных пунктами 2 - 11 части 1 статьи 6, части 2 статьи 10 и
части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ.
8. Правила обработки ПДн при поручении обработки ПДн
другому лицу
Администрация города Тамбова вправе поручить обработку ПДн
другому лицу (поручение оператора):
с согласия субъекта ПДн;
если иное не предусмотрено федеральным законом;
на основании заключаемого с этим лицом договора, в том числе
муниципального контракта;
путем принятия соответствующего акта.
Лицо, осуществляющее обработку ПДн по поручению оператора,
обязано соблюдать принципы и правила обработки ПДн.
В случае, если Администрация города Тамбова поручает обработку
ПДн другому лицу, ответственность перед субъектом ПДн за действия
указанного лица несет Администрация города Тамбова.
В случае необходимости получения согласия на обработку ПДн от
субъекта ПДн обязанность получения такого согласия возлагается на
Администрацию города Тамбова.
7
Продолжение приложения №1
9. Правила обработки ПДн в зависимости от категории
обрабатываемых ПДн
9.1. В Администрации города Тамбова устанавливаются следующие
особые правила обработки ПДн в зависимости от категории обрабатываемых
ПДн:
обработка специальных категорий ПДн;
обработка биометрических ПДн;
обработка общедоступных ПДн.
9.2. Правила обработки специальных категорий ПДн
К специальным категориям ПДн относятся сведения, касающиеся:
расовой принадлежности;
национальной принадлежности;
политических взглядов;
религиозных убеждений;
философских убеждений;
состояния здоровья;
интимной жизни;
судимости.
В Администрации города Тамбова разрешается обработка сведений
специальных категорий ПДн при обязательном соблюдении любого из
следующих условий:
субъект ПДн дал согласие в письменной форме на обработку своих
ПДн;
обработка ПДн осуществляется в соответствии с законодательством
Российской Федерации;
обработка ПДн необходима для защиты жизни, здоровья или иных
жизненно важных интересов субъекта ПДн либо жизни, здоровья или иных
жизненно важных интересов других лиц и получение согласия субъекта ПДн
невозможно;
обработка ПДн необходима для установления или осуществления прав
субъекта ПДн или третьих лиц;
обработка ПДн о судимости осуществляется в пределах полномочий,
предоставленных Администрации города Тамбова в соответствии с
законодательством Российской Федерации.
9.3. Правила обработки биометрических ПДн
К биометрическим ПДн относятся (обязательное выполнение всех
условий одновременно):
сведения, которые характеризуют физиологические и биологические
особенности человека;
8
Продолжение приложения №1
сведения, на основании которых можно установить его личность.
В случае принятия решения об обработке биометрических ПДн, такие
данные могут обрабатываться только при наличии согласия в письменной
форме субъекта ПДн.
9.4. Правила обработки общедоступных ПДн
Общедоступные ПДн физических лиц, полученные из сторонних
общедоступных источников ПДн, обрабатываются в исключительных
случаях в сроки, не превышающие необходимые для их использования. При
этом совместно с такими данными должны собираться реквизиты их
источника и подтверждение согласия субъекта ПДн на включение такой
информации в общедоступные источники ПДн, так как в случае обработки
общедоступных ПДн обязанность доказывания того, что обрабатываемые
ПДн являются общедоступными, возлагается на Администрацию города
Тамбова.
По достижении целей обработки общедоступных ПДн они подлежат
немедленному уничтожению.
С целью информационного обеспечения и осуществления
взаимодействия со сторонними физическими и юридическими лицами в
Администрации города Тамбова могут создаваться общедоступные
источники ПДн. Создание общедоступного источника ПДн осуществляется
по решению главы Администрации города Тамбова. В решении о создании
общедоступного источника ПДн должны быть указаны:
цель создания общедоступного источника ПДн;
ссылка на нормативный акт, устанавливающий необходимость
создания общедоступного источника ПДн (при наличии);
перечень ПДн, которые вносятся в общедоступный источник ПДн;
порядок включения ПДн в общедоступный источник ПДн;
порядок уведомления пользователей общедоступного источника ПДн;
порядок получения письменного согласия субъекта ПДн на включение
ПДн в общедоступный источник ПДн;
В общедоступный источник ПДн с письменного согласия субъекта
ПДн могут включаться: должность, фамилия, имя, отчество, абонентский
номер рабочего телефона, место получения образования, достигнутые
результаты и другая информация.
Включение в общедоступные источники ПДн субъекта ПДн
допускается только на основании его письменного согласия.
Исключение ПДн из указанного общедоступного источника
осуществляется при утрате необходимости в обработке таких данных, либо
на основании заявления субъекта ПДн в соответствии с действующим
законодательством Российской Федерации.
9
Продолжение приложения №1
10. Правовое основание обработки ПДн
10.1. Правовое основание обработки ПДн включает в себя:
определение законности целей обработки ПДн;
оценку вреда, который может быть причинен субъекту ПДн в случае
нарушения требований по обработке и обеспечению безопасности ПДн;
определение заданных характеристик безопасности ПДн;
определение сроков обработки, в том числе хранения ПДн,
осуществление контроля за соблюдением сроков обработки ПДн и фактов
достижения целей обработки ПДн.
10.2. Определение законности целей обработки
ПДн
Заявляемые цели обработки ПДн должны быть законны, причем,
должны рассматриваться и соответственно иметь правовое основание особые
правила обработки ПДн (таких как специальные категории ПДн,
биометрические ПДн и др.).
При определении правовых оснований обработки ПДн должны
определяться реквизиты федеральных законов, а также иных подзаконных
актов и документов, которые требуют обработки ПДн или иных документов,
являющихся такими основаниями.
Обработка ПДн без документально определенного и оформленного
правового основания обработки ПДн не допускается.
10.3. Оценка вреда, который может быть причинен субъектам
ПДн в случае нарушения требований по
обработке и обеспечению безопасности ПДн
Оценкой вреда, который может быть причинен субъекту ПДн в случае
нарушения требований по обработке и обеспечению безопасности ПДн,
является определение юридических или иным образом затрагивающих права
и законные интересы последствий в отношении субъекта ПДн, которые
могут возникнуть в случае нарушения требований по обработке и
обеспечению безопасности ПДн.
К юридическим последствиям относятся случаи возникновения,
изменения или прекращения личных либо имущественных прав граждан или
иным образом затрагивающих его права, свободы и законные интересы.
При обработке ПДн должны определяться и документально
оформляться все возможные юридические или иным образом затрагивающие
права и законные интересы последствия в отношении субъекта ПДн, которые
могут возникнуть в случае нарушения требований по обработке и
обеспечению безопасности ПДн.
10
Продолжение приложения №1
Определение таких юридических последствий необходимо для
недопущения нарушения и обеспечения защиты прав и свобод человека и
гражданина при обработке его ПДн, в том числе защиты прав на
неприкосновенность частной жизни, личную и семейную тайну, а также
определения соотношения вреда, который может быть причинен субъектам
ПДн в случае нарушения требований по обработке и обеспечению
безопасности ПДн и принимаемых мер.
Обработка ПДн без оценки вреда, который может быть причинен
субъектам ПДн в случае нарушения требований по обработке и обеспечению
безопасности ПДн, не допускается.
10.4. Заданные характеристики безопасности
ПДн
Всеми лицами, получающими доступ к ПДн, должна обеспечиваться
конфиденциальность таких данных.
Конфиденциальность ПДн это обязательное для соблюдения
оператором или иным получившим доступ к ПДн лицом требование не
раскрывать третьим лицам и не распространять ПДн без согласия субъекта
ПДн, если иное не предусмотрено федеральным законом.
Вне зависимости от необходимости обеспечения конфиденциальности
ПДн, при обработке ПДн должно определяться наличие требований по
обеспечению иных характеристик безопасности ПДн, отличных от нее.
К таким характеристикам относятся:
требование по обеспечению защищенности от уничтожения ПДн;
требование по обеспечению защищенности от изменения ПДн;
требование по обеспечению защищенности от блокирования ПДн;
требование
по
обеспечению
защищенности
от
иных
несанкционированных действий.
Обеспечение
указанных
характеристик
безопасности
ПДн
устанавливается федеральными законами и иными нормативными
правовыми актами.
При определении правовым актом Администрации города Тамбова
необходимости обеспечения характеристик безопасности ПДн, отличных от
конфиденциальности, основным критерием должна служить оценка вреда,
который может быть причинен субъекту ПДн, с чьим ПДн произошло
нарушение таких характеристик безопасности.
Обработка ПДн без документально определенного и оформленного
решения по определению характеристик безопасности ПДн не допускается.
11
Продолжение приложения №1
10.5. Определение сроков обработки, в том числе хранения ПДн,
осуществление контроля за соблюдением сроков обработки ПДн и фактов
достижения целей обработки ПДн
На основании определенных целей обработки ПДн, способов
обработки и образующихся в процессе такой обработки различных видов
документов устанавливаются сроки такой обработки ПДн, в том числе
хранения.
Определение сроков хранения осуществляется в соответствии с
требованиями законодательства Российской Федерации, в том числе в
соответствии с перечнями типовых архивных документов с указанием сроков
их хранения.
При использовании документов, содержащих ПДн, в различных целях,
определение сроков обработки, в том числе хранения, таких документов
устанавливается по максимальному сроку, предусмотренному федеральным
законом. При этом в случае наличия ПДн в таких документах, обработка
которых более не требуется, производятся действия по уничтожению таких
данных.
Включение в состав Архивного фонда Российской Федерации
документов, содержащих ПДн, осуществляется на основании экспертизы
ценности документов и оформляется договором между Администрацией
города Тамбова и государственным архивом. При этом объем передаваемых
документов и условия передачи определяются условиями такого договора и
действующими требованиями законодательства об архивном деле
Российской Федерации.
На документы, включенные в состав Архивного фонда Российской
Федерации, действие настоящих Правил не распространяется.
Обработка ПДн без документально определенных и оформленных
сроков обработки, в том числе хранения ПДн, не допускается.
С целью выполнения требования по уничтожению либо обезличиванию
ПДн по достижении целей обработки или в случае утраты необходимости в
достижении этих целей, если иное не предусмотрено федеральным законом,
в Администрации города Тамбова создается комиссия, определяющая факт
достижения целей обработки ПДн и достижение предельных сроков
хранения документов, содержащих ПДн.
11. Действия (операции) с ПДн
Обработкой ПДн называется любое действие (операция) или
совокупность действий (операций), совершаемых с использованием средств
автоматизации или без использования таких средств ПДн, включая:
сбор ПДн;
запись ПДн;
систематизацию ПДн;
12
Продолжение приложения №1
накопление ПДн;
хранение ПДн;
уточнение ПДн;
извлечение ПДн;
использование ПДн;
передачу ПДн;
обезличивание ПДн;
блокирование ПДн;
удаление ПДн;
уничтожение ПДн.
Обработка ПДн без определенных и документально оформленных
действий (операций), совершаемых с ПДн, не допускается.
12. Осуществление сбора ПДн
12.1. Способы сбора ПДн и источники их получения
В Администрации города Тамбова применяются следующие способы
получения ПДн субъектов ПДн:
заполнение субъектом ПДн соответствующих форм;
получение ПДн от третьих лиц;
получение данных на основании запроса третьим лицам;
сбор данных из общедоступных источников.
Получение ПДн допускается только:
непосредственно от субъекта ПДн;
из общедоступных источников;
от третьих лиц.
Получение ПДн из иных источников не допускается.
12.2. Правила сбора ПДн
Если предоставление ПДн является обязательным в соответствии с
федеральными законами, иными нормативно–правовыми документами,
оператор ПДн обязан разъяснить субъекту ПДн юридические последствия
отказа предоставить его ПДн.
Если основания на обработку ПДн без согласия отсутствуют, то
необходимо получение согласия субъекта ПДн на обработку его ПДн.
Обработка ПДн без получения такого согласия запрещается.
Если ПДн получены не от субъекта ПДн, оператор до начала
обработки таких ПДн обязан предоставить субъекту ПДн следующую
информацию:
наименование оператора или его представителя;
сведения о цели обработки ПДн и ее правовое основание;
сведения о предполагаемых пользователях ПДн;
13
Продолжение приложения №1
сведения об установленных правах субъекта ПДн;
сведения об источниках получения ПДн.
Администрация города Тамбова освобождается от обязанности
предоставлять субъекту ПДн сведения в случаях, если:
субъект ПДн уведомлен об осуществлении обработки его ПДн
соответствующим оператором;
ПДн получены на основании федерального закона или в связи с
исполнением договора, стороной которого либо выгодоприобретателем или
поручителем по которому является субъект ПДн;
ПДн сделаны общедоступными субъектом ПДн или получены из
общедоступного источника;
Администрация города Тамбова осуществляет обработку ПДн для
статистических или иных исследовательских целей, если при этом не
нарушаются права и законные интересы субъекта ПДн;
предоставление субъекту ПДн сведений нарушает права и законные
интересы третьих лиц.
13. Осуществление систематизации, накопления, уточнения и
использования ПДн
Систематизация, накопление, уточнение, использование ПДн могут
осуществляться любыми законными способами в соответствии с правилами,
инструкциями, руководствами, регламентами и иными документами,
определяющими технологический процесс обработки информации.
Права и свободы человека и гражданина не могут быть ограничены по
мотивам, связанным с использованием различных способов обработки ПДн.
Уточнение ПДн должно производиться только на основании законно
полученной в установленном порядке информации.
Решение об уточнении ПДн субъекта ПДн принимается лицом,
ответственным за организацию обработки ПДн.
Использование ПДн должно осуществляться исключительно в
заявленных целях. Использование ПДн в заранее не определенных и не
оформленных установленным образом целях не допускается.
14. Осуществление передачи ПДн
Передача ПДн в Администрации города Тамбова должна
осуществляться с соблюдением настоящих Правил и действующего
законодательства Российской Федерации.
В Администрации города Тамбова приняты следующие способы
передачи ПДн субъектов ПДн:
передача ПДн на электронных и бумажных носителях информации
нарочно;
14
Продолжение приложения №1
передача ПДн на электронных и бумажных носителях посредством
почтовой связи;
передача ПДн по электронным каналам.
Перед осуществлением передачи ПДн проверяется основание на
осуществление такой передачи и наличие согласия на передачу ПДн в
согласии субъекта ПДн на обработку ПДн или наличие иных законных
оснований.
Передача ПДн должна осуществляться на основании:
договора с третьей стороной, которой осуществляется передача ПДн;
запроса, полученного от третьей стороны, которой осуществляется
передача ПДн;
исполнения возложенных законодательством Российской Федерации на
Администрацию города Тамбова функций, полномочий и обязанностей.
15. Осуществление хранения ПДн
Хранение ПДн в Администрации города Тамбова допускается только в
форме документов - зафиксированной на материальном носителе
информации (содержащей ПДн) с реквизитами, позволяющими ее
идентифицировать
и
определить
субъекта
ПДн.
При
этом
предусматриваются следующие виды документов:
изобразительный документ - документ, содержащий информацию,
выраженную посредством изображения какого-либо объекта;
фотодокумент
изобразительный
документ,
созданный
фотографическим способом;
текстовый документ - документ, содержащий речевую информацию,
зафиксированную любым типом письма или любой системой звукозаписи;
письменный документ - текстовой документ, информация которого
зафиксирована любым типом письма;
рукописный документ - письменный документ, при создании которого
знаки письма наносят от руки;
машинописный документ - письменный документ, при создании
которого знаки письма наносят техническими средствами;
документ на машинном носителе - документ, созданный с
использованием носителей и способов записи, обеспечивающих обработку
его информации электронно-вычислительной машиной.
Хранение ПДн осуществляется в форме, позволяющей определить
субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок
хранения ПДн не установлен федеральным законом, иным нормативным
документом.
Хранение ПДн осуществляется только на таких материальных
носителях информации и с применением такой технологии ее хранения,
которые обеспечивают защиту этих данных от неправомерного или
случайного:
15
Продолжение приложения №1
доступа к ним;
их уничтожения;
изменения;
блокирования;
копирования;
предоставления;
распространения.
16. Осуществление блокирования ПДн
Блокированием ПДн называется временное прекращение обработки
ПДн (за исключением случаев, если обработка необходима для уточнения
ПДн).
Блокирование ПДн конкретного субъекта ПДн должно осуществляться
во всех информационных системах ПДн, включая архивы баз данных,
содержащих такие ПДн.
Блокирование ПДн осуществляется:
в случае выявления неправомерной обработки ПДн при обращении
субъекта ПДн или его представителя, либо по запросу субъекта ПДн или его
представителя либо уполномоченного органа по защите прав субъектов ПДн
с момента такого обращения или получения указанного запроса на период
проверки;
в случае отсутствия возможности уничтожения ПДн в установленные
сроки до их уничтожения.
После устранения выявленной неправомерной обработки ПДн оператор
ПДн осуществляет снятие блокирования ПДн.
Решение о блокировании и снятии блокирования ПДн субъекта ПДн
принимается ответственным за организацию обработки ПДн.
17. Осуществление обезличивания ПДн
Обезличивание ПДн при обработке ПДн с использованием средств
автоматизации осуществляется на основании нормативных правовых актов,
правил, инструкций, руководств, регламентов и иных документов для
достижения заранее определенных и заявленных целей.
Допускается обезличивание ПДн при обработке ПДн без
использования средств автоматизации производить способом, исключающим
дальнейшую обработку этих ПДн с сохранением возможности обработки
иных данных, зафиксированных на материальном носителе.
18. Осуществление уничтожения ПДн
Уничтожение ПДн - это действия, в результате которых становится
невозможным восстановить содержание ПДн в информационной системе
16
Продолжение приложения №1
ПДн и (или) в результате которых уничтожаются материальные носители
ПДн.
Уничтожение ПДн производится только в следующих случаях:
обрабатываемые ПДн подлежат уничтожению либо обезличиванию по
достижении целей обработки или в случае утраты необходимости в
достижении этих целей, если иное не предусмотрено федеральным законом;
ПДн являются незаконно полученными или не являются
необходимыми для заявленной цели обработки;
в случае выявления неправомерной обработки ПДн, если обеспечить
правомерность обработки ПДн невозможно;
в случае достижения цели обработки ПДн;
в случае отзыва субъектом ПДн согласия на обработку его ПДн и в
случае, если сохранение ПДн более не требуется для целей обработки ПДн.
При уничтожении ПДн необходимо:
убедиться в необходимости уничтожения ПДн;
убедиться в том, что уничтожаются те ПДн, которые предназначены
для уничтожения;
уничтожить ПДн подходящим способом в соответствии с настоящими
Правилами или способом, указанным в соответствующем требовании или
распорядительном документе;
проверить необходимость уведомления об уничтожении ПДн;
при необходимости уведомить об уничтожении ПДн требуемых лиц.
При уничтожении ПДн применяются следующие способы:
измельчение в бумагорезательной (бумагоуничтожительной) машине для документов, исполненных на бумаге;
тщательное вымарывание (с проверкой тщательности вымарывания) для сохранения возможности обработки иных данных, зафиксированных на
материальном носителе, содержавшем ПДн;
физическое уничтожение частей носителей информации - разрушение
или сильная деформация - для носителей информации на жестком магнитном
диске (уничтожению подлежат внутренние диски и микросхемы); СD (DVD)дисках, USB- и Flash-носителях (уничтожению подлежат модули и
микросхемы долговременной памяти);
стирание с помощью сертифицированных средств уничтожения
информации - для записей в базах данных и отдельных документов на
машинном носителе.
При уничтожении ПДн необходимо учитывать их наличие в архивных
базах данных и производить уничтожение во всех копиях базы данных, если
иное не установлено действующим законодательством Российской
Федерации.
При необходимости уничтожения части ПДн допускается уничтожать
материальный носитель одним из указанных в настоящих Правилах
способов, с предварительным копированием сведений, не подлежащих
17
Продолжение приложения №1
уничтожению, способом, исключающим одновременное копирование ПДн,
подлежащих уничтожению.
По факту уничтожения ПДн составляется акт об уничтожении ПДн,
который подписывается лицами, производившими уничтожение, заверяется
лицом, ответственным за организацию обработки ПДн, присутствовавшим
при уничтожении, и утверждается главой Администрации города Тамбова
(заместителем главы Администрации города Тамбова).
Хранение актов об уничтожении ПДн осуществляется в течение срока
исковой давности, если иное не установлено нормативными правовыми
актами Российской Федерации.
19. Права и обязанности субъекта ПДн и
Администрации города Тамбова при обработке ПДн
19.1. Права субъекта ПДн
Субъект ПДн, чьи ПДн обрабатываются в Администрации города
Тамбова, имеет право:
на получение сведений о подтверждении факта обработки ПДн
Администрацией города Тамбова;
на получение сведений о правовых основаниях и целях обработки ПДн;
на получение сведений о
лицах (за исключением сведений о
муниципальных служащих Администрации города Тамбова), которые имеют
доступ к ПДн или которым могут быть раскрыты ПДн на основании договора
или на основании федерального закона;
на получение сведений об обрабатываемых ПДн, относящихся к
соответствующему субъекту ПДн, источник их получения, если иной
порядок представления таких данных не предусмотрен федеральным
законом;
на получение сведений о сроках обработки ПДн, в том числе сроках их
хранения;
на получение сведений о порядке осуществления субъектом ПДн своих
прав, предусмотренных законодательством в области ПДн;
на получение информации об осуществленной или о предполагаемой
трансграничной передаче данных;
на получение сведений о наименовании и адресе лица,
осуществляющего обработку ПДн по поручению Администрации города
Тамбова, если обработка поручена или будет поручена такому лицу;
на получение иных сведений, предусмотренных законодательством в
области ПДн и другими федеральными законами;
требовать от Администрации города Тамбова уточнения его ПДн, их
блокирования или уничтожения в случае, если ПДн являются неполными,
устаревшими, неточными, незаконно полученными или не являются
необходимыми для заявленной цели обработки;
18
Продолжение приложения №1
принимать предусмотренные законом меры по защите своих прав;
требовать от Администрации города Тамбова предоставления ему ПДн
в доступной форме;
повторного обращения и запроса в целях получения сведений и
ознакомления с его ПДн;
заявить возражение против принятия решения на обработку ПДн,
порождающих юридические последствия в отношении субъекта ПДн или
иным образом затрагивающих его права и законные интересы;
обжаловать действия или бездействие Администрации города Тамбова
в уполномоченный орган по защите прав субъектов ПДн или в судебном
порядке, если субъект ПДн считает, что Администрация города Тамбова
осуществляет обработку его ПДн с нарушением требований федерального
закона или иным образом нарушает его права и свободы;
на защиту своих прав и законных интересов, в том числе на
возмещение убытков и (или) компенсацию морального вреда в судебном
порядке;
требовать предоставления безвозмездно субъекту ПДн или его
представителю возможности ознакомления с ПДн, относящимися к этому
субъекту ПДн;
принимать решение о предоставлении его ПДн и давать согласие на их
обработку свободно, своей волей и в своем интересе;
отзывать согласие на обработку ПДн.
Кроме указанных прав в вопросах обработки его ПДн субъект ПДн
обладает другими правами, предоставляемыми ему действующим
законодательством Российской Федерации.
19.2. Обязанности субъекта ПДн
Субъект ПДн, чьи ПДн обрабатываются в Администрации города
Тамбова, обязан:
предоставлять свои ПДн в случаях, когда федеральными законами
предусматриваются случаи обязательного предоставления субъектом ПДн
своих ПДн;
с целью соблюдения его законных прав и интересов подавать только
достоверные ПДн.
Кроме указанных обязанностей в вопросах обработки его ПДн на
субъекта ПДн налагаются иные обязанности, предусмотренные
действующим законодательством Российской Федерации.
19.3. Права Администрации города Тамбова при обработке ПДн
субъектов ПДн
Администрация города Тамбова при обработке ПДн субъектов ПДн
имеет право:
19
Продолжение приложения №1
обрабатывать ПДн в соответствии с действующим законодательством
Российской Федерации;
поручить обработку ПДн другому лицу с согласия субъекта ПДн, если
иное не предусмотрено федеральным законом, на основании заключаемого с
этим лицом договора, в том числе муниципального контракта, либо путем
принятия соответствующего акта;
мотивированно отказать субъекту ПДн в выполнении повторного
запроса в целях получения сведений, касающихся обработки его ПДн, при
нарушении субъектом ПДн своих обязанностей по подаче такого запроса;
ограничить право субъекта ПДн на доступ к его ПДн в соответствии с
федеральными законами, в том числе, если обработка ПДн осуществляется в
соответствии с законодательством о противодействии легализации
(отмыванию) доходов, полученных преступным путем, и финансированию
терроризма;
ограничить право субъекта ПДн на доступ к его ПДн в соответствии с
федеральными законами, в том числе, если доступ субъекта ПДн к его
персональным данным нарушает права и законные интересы третьих лиц;
самостоятельно определять состав и перечень мер, необходимых и
достаточных для обеспечения выполнения обязанностей, предусмотренных
действующим законодательством в области ПДн, если иное не
предусмотрено федеральными законами;
осуществлять или обеспечивать блокирование или уничтожение ПДн,
если обеспечить правомерность обработки ПДн невозможно;
осуществлять или обеспечивать уничтожение ПДн;
в случае достижения цели обработки ПДн продолжить обработку ПДн,
если обработка ПДн осуществляется без согласия субъекта ПДн на
основании пункта 4 статьи 21 Федерального закона от 27.07.2006 №152-ФЗ;
в случае отзыва субъектом ПДн согласия на обработку его ПДн
продолжить обработку ПДн, если обработка ПДн осуществляется без
согласия субъекта ПДн на основании пункта 5 статьи 21 Федерального
закона от 27.07.2006 №152-ФЗ;
в случае отсутствия возможности уничтожения ПДн осуществить
блокирование таких ПДн и обеспечить уничтожение ПДн в срок не более чем
шесть месяцев, если иной срок не установлен федеральными законами;
осуществлять без уведомления уполномоченного органа по защите
прав субъектов ПДн обработку ПДн, указанных в пункте 2 статьи 22
Федерального закона от 27.07.2006 №152-ФЗ.
Кроме указанных прав в вопросах обработки ПДн субъектов ПДн
Администрация
города
Тамбова
обладает
другими
правами,
предоставляемыми ему действующим законодательством Российской
Федерации.
20
Продолжение приложения №1
19.4. Обязанности Администрации города Тамбова при обработке
ПДн субъектов ПДн
Администрация города Тамбова при обработке ПДн субъектов ПДн
обязана:
строго соблюдать принципы и правила обработки ПДн;
в случае, если обработка ПДн осуществляется по поручению
оператора, строго соблюдать и выполнять требования оператора;
не раскрывать третьим лицам и не распространять ПДн без согласия
субъекта ПДн, если иное не предусмотрено федеральным законом;
по требованию субъекта ПДн либо по решению суда или иных
уполномоченных государственных органов исключить из общедоступных
источников ПДн сведения о субъекте ПДн;
обеспечить конкретность и информированность согласия на обработку
ПДн;
получать согласие на обработку ПДн, если иное не предусмотрено
действующим законодательством;
в случае получения согласия на обработку ПДн от представителя
субъекта ПДн проверять полномочия данного представителя на дачу
согласия от имени субъекта ПДн;
представить доказательство получения согласия субъекта ПДн на
обработку его ПДн или доказательство наличия оснований обработки ПДн
без получения согласия;
строго соблюдать требования к содержанию согласия в письменной
форме субъекта ПДн на обработку его ПДн;
незамедлительно прекратить обработку специальных категорий ПДн,
если устранены причины, вследствие которых осуществлялась обработка,
если иное не установлено федеральным законом;
убедиться в том, что иностранным государством, на территорию
которого осуществляется передача ПДн, обеспечивается адекватная защита
прав субъектов ПДн, до начала осуществления трансграничной передачи
ПДн;
предоставить субъекту ПДн сведения по запросу субъекта ПДн в
доступной форме, в которых не должны содержаться ПДн, относящиеся к
другим субъектам ПДн, за исключением случаев, если имеются законные
основания для раскрытия таких ПДн;
мотивировать и представить доказательства обоснованности отказа в
выполнении повторного запроса субъекта ПДн;
разъяснить субъекту ПДн порядок принятия решения на обработку его
ПДн и возможные юридические последствия такого решения, предоставить
возможность заявить возражение против такого решения, а также разъяснить
порядок защиты субъектом ПДн своих прав и законных интересов;
предоставить субъекту ПДн по его просьбе информацию, касающуюся
обработки его ПДн;
21
Продолжение приложения №1
разъяснить субъекту ПДн юридические последствия отказа
предоставить его ПДн, если предоставление ПДн является обязательным в
соответствии с федеральным законом;
до начала обработки ПДн, полученных не от субъекта ПДн,
предоставить субъекту ПДн информацию о своем наименовании и адресе,
цели обработки ПДн и ее правовом основании, предполагаемых
пользователях ПДн, об установленных правх субъекта ПДн, источнике
получения ПДн;
принимать меры, необходимые и достаточные для обеспечения
выполнения своих обязанностей в области ПДн, если иное не предусмотрено
федеральными законами;
опубликовать или иным образом обеспечить неограниченный доступ к
документу, определяющему его политику в отношении обработки ПДн, к
сведениям о реализуемых требованиях к защите ПДн;
по запросу уполномоченного органа по защите прав субъектов ПДн
представить документы и локальные акты, определяющие политику в
отношении обработки ПДн, и сведения о реализуемых требованиях к защите
ПДн;
принимать необходимые правовые, организационные и технические
меры или обеспечивать их принятие для защиты ПДн от неправомерного или
случайного доступа к ним, уничтожения, изменения, блокирования,
копирования, предоставления, распространения ПДн, а также от иных
неправомерных действий в отношении ПДн;
сообщить субъекту ПДн или его представителю информацию о
наличии ПДн, относящихся к соответствующему субъекту ПДн, а также
предоставить возможность ознакомления с этими ПДн при обращении
субъекта ПДн или его представителя либо при получении запроса субъекта
ПДн или его представителя;
в случае отказа в предоставлении информации о наличии ПДн о
соответствующем субъекте ПДн или ПДн субъекту ПДн или его
представителю при их обращении либо при получении запроса субъекта ПДн
или его представителя дать в письменной форме мотивированный ответ;
предоставить безвозмездно субъекту ПДн или его представителю
возможность ознакомления с ПДн, относящимися к этому субъекту ПДн;
внести в ПДн необходимые изменения или уничтожить такие ПДн в
случае предоставления субъектом ПДн или его представителем сведений,
подтверждающих, что ПДн являются неполными, неточными или
неактуальными;
строго соблюдать сроки по уведомлениям, блокированию и
уничтожению ПДн;
уведомить субъекта ПДн или его представителя о внесенных
изменениях и предпринятых мерах и принять разумные меры для
уведомления третьих лиц, которым ПДн этого субъекта были переданы;
22
Продолжение приложения №1
сообщить в уполномоченный орган по защите прав субъектов ПДн по
запросу этого органа необходимую информацию;
в случае выявления неправомерной обработки ПДн при обращении
субъекта ПДн или его представителя либо по запросу субъекта ПДн или его
представителя, либо уполномоченного органа по защите прав субъектов ПДн
оператор обязан осуществить блокирование неправомерно обрабатываемых
ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование
(если обработка ПДн осуществляется другим лицом, действующим по
поручению оператора) с момента такого обращения или получения
указанного запроса на период проверки;
в случае выявления неточных ПДн при обращении субъекта ПДн или
его представителя либо по их запросу или по запросу уполномоченного
органа по защите прав субъектов ПДн оператор обязан осуществить
блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечить их
блокирование (если обработка ПДн осуществляется другим лицом,
действующим по поручению оператора) с момента такого обращения или
получения указанного запроса на период проверки, если блокирование ПДн
не нарушает права и законные интересы субъекта ПДн или третьих лиц;
уточнить ПДн либо обеспечить их уточнение (если обработка ПДн
осуществляется другим лицом, действующим по поручению оператора) и
снять блокирование ПДн в случае подтверждения факта неточности ПДн на
основании сведений, представленных субъектом ПДн или его
представителем либо уполномоченным органом по защите прав субъектов
ПДн, или иных необходимых документов;
прекратить неправомерную обработку ПДн или обеспечить
прекращение неправомерной обработки ПДн лицом, действующим по
поручению оператора в случае выявления неправомерной обработки ПДн,
осуществляемой оператором или лицом, действующим по поручению
оператора;
уничтожить ПДн или обеспечить их уничтожение в случае, если
обеспечить правомерность обработки ПДн невозможно;
уведомить субъекта ПДн или его представителя, а в случае, если
обращение субъекта ПДн или его представителя либо запрос
уполномоченного органа по защите прав субъектов ПДн были направлены
уполномоченным органом по защите прав субъектов ПДн, также указанный
орган об устранении допущенных нарушений или об уничтожении ПДн;
прекратить обработку ПДн или обеспечить ее прекращение (если
обработка ПДн осуществляется другим лицом, действующим по поручению
оператора) и уничтожить ПДн или обеспечить их уничтожение (если
обработка ПДн осуществляется другим лицом, действующим по поручению
оператора):
в случае достижения цели обработки ПДн, если обработка ПДн
осуществляется без согласия субъекта ПДн на основаниях, предусмотренных
федеральным законом;
23
Продолжение приложения №1
в случае отзыва субъектом ПДн согласия на обработку его ПДн, если
обработка ПДн осуществляется без согласия субъекта ПДн на основаниях,
предусмотренных федеральным законом;
уведомить уполномоченный орган по защите прав субъектов ПДн о
своем намерении осуществлять обработку ПДн;
уведомить уполномоченный орган по защите прав субъектов ПДн в
случае изменения сведений, указанных в уведомлении о своем намерении
осуществлять обработку ПДн;
назначить лицо, ответственное за организацию обработки ПДн;
предоставлять лицу, ответственному за организацию обработки ПДн,
необходимые сведения;
неукоснительно соблюдать все требования настоящих Правил;
ознакомить муниципальных служащих Администрации города
Тамбова, непосредственно осуществляющих обработку ПДн, с положениями
законодательства Российской Федерации о ПДн, в том числе требованиями к
защите ПДн, документами, определяющими политику в отношении
обработки ПДн, локальными актами по вопросам обработки ПДн, и
организовать обучение таких служащих.
Кроме указанных обязанностей в вопросах обработки ПДн субъектов
ПДн на Администрацию города Тамбова налагаются иные обязанности,
предусмотренные действующим законодательством Российской Федерации.
20. Процедуры, направленные на предотвращение и выявление
нарушений законодательства в отношении обработки
ПДн и устранение таких последствий
К процедурам, направленным на предотвращение и выявление
нарушений законодательства в отношении обработки ПДн и устранение
таких последствий, относятся:
реализация мер, направленных на обеспечение выполнения оператором
своих обязанностей;
выполнение предусмотренных законодательством о ПДн обязанностей,
возложенных на Администрацию города Тамбова;
обеспечение личной ответственности муниципальных служащих
Администрации города Тамбова, осуществляющих обработку либо доступ к
персональным данным;
организация рассмотрения запросов субъектов ПДн или их
представителей и ответов на такие запросы;
организация внутреннего контроля соответствия обработки ПДн
требованиям
к
защите
ПДн,
установленным
действующим
законодательством в области ПДн и локальными актами Администрации
города Тамбова;
определение порядка доступа муниципальных служащих в помещения,
в которых ведется обработка ПДн;
24
Продолжение приложения №1
проведение необходимых мероприятий по обеспечению безопасности
ПДн и носителей их содержащих;
проведение периодических проверок условий обработки ПДн;
повышение осведомленности муниципальных служащих, занимающих
должности которые предусматривают обработку ПДн либо доступ к ПДн,
путем их ознакомления с положениями законодательства Российской
Федерации о ПДн (в том числе с требованиями к защите ПДн), локальными
актами Администрации города Тамбова по вопросам обработки ПДн и
организация обучения указанных служащих;
блокирование, внесение изменений и уничтожение ПДн в
предусмотренных действующим законодательством в области ПДн случаях;
оповещение субъектов ПДн в предусмотренных действующим
законодательством в области ПДн случаях;
разъяснение прав субъекту ПДн в вопросах обработки и обеспечения
безопасности их ПДн;
оказание содействия правоохранительным органам в случаях
нарушений законодательства в отношении обработки ПДн;
публикация на официальном Интернет-портале Администрации города
Тамбова документов, определяющих политику в отношении обработки ПДн.
21. Требования к муниципальным служащим Администрации города
Тамбова, осуществляющим доступ к ПДн или их обработку
Администрация города Тамбова осуществляет ознакомление
работников, непосредственно осуществляющих обработку ПДн или доступ к
ним, с положениями законодательства Российской Федерации о ПДн (в том
числе с требованиями к защите ПДн), локальными актами Администрации
города Тамбова по вопросам обработки ПДн, включая настоящие Правила:
при оформлении трудового договора;
при первоначальном допуске к обработке ПДн;
при назначении на должность, связанную с обработкой ПДн или
доступом к ним;
после внесения изменений в действующее законодательство
Российской Федерации о ПДн, локальные акты Администрации города
Тамбова по вопросам обработки ПДн.
Муниципальные служащие Администрации города Тамбова,
непосредственно осуществляющие обработку ПДн или доступ к ним,
обязаны:
неукоснительно следовать принципам обработки ПДн;
знать и строго соблюдать положения действующего законодательства
Российской Федерации в области ПДн;
знать и строго соблюдать положения локальных актов Администрации
города Тамбова в области обработки и обеспечения безопасности ПДн;
25
Продолжение приложения №1
знать и строго соблюдать инструкции, руководства и иные
эксплуатационные документы на применяемые средства автоматизации, в
том числе программное обеспечение, и средства защиты информации;
соблюдать конфиденциальность ПДн, не предоставлять третьим лицам
и не распространять ПДн без согласия субъекта ПДн, если иное не
предусмотрено федеральным законом;
не допускать нарушений требований и правил обработки и обеспечения
безопасности ПДн;
обо всех подозрениях и ставших известными случаях нарушений
требований и правил обработки и обеспечения безопасности ПДн сообщать
лицу, ответственному за обработку ПДн.
Работники Администрации города Тамбова несут личную
ответственность за соблюдение требований действующего законодательства
Российской Федерации, настоящих Правил.
22. Обеспечение безопасности ПДн при их обработке
22.1. В соответствии с требованиями действующего законодательства в
области ПДн при обработке ПДн Администрация города Тамбова обязана
принимать необходимые правовые, организационные и технические меры
для защиты ПДн от неправомерного или случайного доступа к ним,
уничтожения, изменения, блокирования, копирования, распространения ПДн,
а также от иных неправомерных действий.
Безопасность
ПДн
достигается
путем
исключения
несанкционированного, в том числе случайного, доступа к ПДн, результатом
которого может стать уничтожение, изменение, блокирование, копирование,
распространение ПДн, а также иных несанкционированных действий.
22.2. Принципы обеспечения безопасности ПДн
при их обработке
Обеспечение безопасности ПДн в Администрации города Тамбова
должно осуществляться на основе следующих принципов:
соблюдение конфиденциальности ПДн;
реализация права на доступ к ПДн лиц, доступ которых к таким
данным разрешается в рамках действующего законодательства Российской
Федерации и локальными нормативными актами Администрации города
Тамбова;
обеспечение
защиты
информации,
содержащей
ПДн,
от
неправомерного доступа, уничтожения, модифицирования, блокирования,
копирования, предоставления, распространения, а также от иных
неправомерных действий в отношении такой информации;
26
Продолжение приложения №1
проведение мероприятий, направленных на предотвращение
несанкционированной передачи их лицам, не имеющим права доступа к
такой информации;
своевременное обнаружение фактов несанкционированного доступа к
ПДн;
недопущение
воздействия
на
технические
средства
автоматизированной обработки ПДн, в результате которого может быть
нарушено их функционирование;
возможность
незамедлительного
восстановления
ПДн,
модифицированных или уничтоженных вследствие несанкционированного
доступа к ним;
постоянный контроль за обеспечением уровня защищенности ПДн;
применение средств защиты информации, прошедших в установленном
порядке процедуру оценки соответствия требованиям безопасности ПДн.
22.3. Требования к уровню обеспечения безопасности
С целью установления методов и способов защиты информации,
необходимых для обеспечения безопасности ПДн, определяется уровень
защищенности ПДн в зависимости от объема обрабатываемых ими ПДн и
угроз безопасности жизненно важным интересам личности, общества и
государства.
Определение уровня защищенности ПДн проводится на этапе ее
создания или в ходе эксплуатации (для ранее введенных в эксплуатацию и
(или) модернизируемых информационных систем ПДн).
Результаты определения уровня защищенности ПДн оформляются
соответствующим актом установки уровня защищенности ПДн.
22.4. Состав мероприятий по обеспечению безопасности
ПДн
Мероприятия по обеспечению безопасности ПДн должны носить
комплексный характер и включать в себя правовые, организационные и
технические меры.
22.5. Состав мероприятий по обеспечению безопасности
ПДн при их обработке, осуществляемой без
использования средств автоматизации
Обработка ПДн, осуществляемая без использования средств
автоматизации, должна осуществляться таким образом, чтобы в отношении
каждой категории ПДн можно было определить места хранения ПДн
(материальных носителей) и установить перечень лиц, осуществляющих
обработку ПДн либо имеющих к ним доступ.
27
Продолжение приложения №1
Необходимо обеспечивать раздельное хранение ПДн (материальных
носителей), обработка которых осуществляется в различных целях.
При хранении материальных носителей должны соблюдаться условия,
обеспечивающие сохранность ПДн и исключающие несанкционированный к
ним доступ.
При несовместимости целей обработки ПДн, зафиксированных на
одном материальном носителе, если материальный носитель не позволяет
осуществлять обработку ПДн отдельно от других зафиксированных на том
же носителе ПДн, должны быть приняты меры по обеспечению раздельной
обработки ПДн, в частности:
а) при необходимости использования или распространения
определенных ПДн отдельно от находящихся на том же материальном
носителе других ПДн осуществляется копирование ПДн, подлежащих
распространению
или
использованию,
способом,
исключающим
одновременное копирование ПДн, не подлежащих распространению и
использованию, и используется (распространяется) копия ПДн;
б) при необходимости уничтожения или блокирования части ПДн
уничтожается или блокируется материальный носитель с предварительным
копированием сведений, не подлежащих уничтожению или блокированию,
способом, исключающим одновременное копирование ПДн, подлежащих
уничтожению или блокированию.
22.6. Состав мероприятий по обеспечению безопасности
ПДн при их обработке, осуществляемой с
использованием средств автоматизации
Мероприятия по обеспечению безопасности ПДн при их обработке в
информационных системах ПДн включают в себя:
определение угроз безопасности ПДн при их обработке, формирование
на их основе модели угроз;
разработку на основе модели угроз системы защиты ПДн,
обеспечивающей нейтрализацию предполагаемых угроз с использованием
методов и способов защиты ПДн, предусмотренных для соответствующего
класса информационных систем;
проверку готовности средств защиты информации к использованию с
составлением заключений о возможности их эксплуатации;
установку и ввод в эксплуатацию средств защиты информации в
соответствии с эксплуатационной и технической документацией;
обучение лиц, использующих средства защиты информации,
применяемые в информационных системах, правилам работы с ними;
учет применяемых средств защиты информации, эксплуатационной и
технической документации к ним, носителей ПДн;
учет лиц, допущенных к работе с ПДн в информационной системе;
28
Продолжение приложения №1
контроль за соблюдением условий использования средств защиты
информации,
предусмотренных
эксплуатационной
и
технической
документацией.
Методами и способами защиты информации от несанкционированного
доступа являются:
реализация разрешительной системы допуска пользователей к
информационным ресурсам, информационной системе и связанным с ее
использованием работам, документам;
ограничение доступа пользователей в помещения, где размещены
технические средства, позволяющие осуществлять обработку ПДн, а также
хранятся носители информации;
разграничение доступа пользователей к информационным ресурсам,
программным средствам обработки (передачи) и защиты информации;
регистрация действий пользователей, контроль несанкционированного
доступа и действий пользователей;
учет и хранение съемных носителей информации, и их использование,
исключающее хищение, подмену и уничтожение;
резервирование технических средств, дублирование массивов и
носителей информации;
использование средств защиты информации, прошедших в
установленном порядке процедуру оценки соответствия;
использование защищенных каналов связи;
размещение технических средств, позволяющих осуществлять
обработку ПДн, в пределах охраняемой территории;
организация физической защиты помещений и собственно технических
средств, позволяющих осуществлять обработку ПДн;
предотвращение внедрения в информационные системы вредоносных
программ (программ-вирусов) и программных закладок.
В информационных системах ПДн, имеющих подключение к
информационно-телекоммуникационным
сетям
международного
информационного обмена (сетям связи общего пользования) или при
функционировании которых предусмотрено использование съемных
носителей информации, используются средства антивирусной защиты.
При взаимодействии информационных систем с информационнотелекоммуникационными сетями международного информационного обмена
(сетями связи общего пользования) основными методами и способами
защиты информации от несанкционированного доступа являются:
межсетевое экранирование с целью управления доступом, фильтрации
сетевых пакетов и трансляции сетевых адресов для скрытия структуры
информационной системы;
обнаружение вторжений в информационную систему, нарушающих
или создающих предпосылки к нарушению установленных требований по
обеспечению безопасности ПДн;
29
Продолжение приложения №1
анализ защищенности информационных систем, предполагающий
применение специализированных программных средств (сканеров
безопасности);
защита информации при ее передаче по каналам связи;
использование смарт-карт, электронных замков и других носителей
информации для надежной идентификации и аутентификации пользователей;
использование средств антивирусной защиты.
Обмен ПДн при их обработке в информационных системах ПДн
осуществляется по каналам связи, защита которых обеспечивается путем
реализации соответствующих организационных мер и (или) путем
применения технических средств, в том числе средств криптографической
защиты информации.
23. Требования к помещениям, в которых производится
обработка ПДн
Размещение
оборудования
информационных
систем
ПДн,
специального оборудования и охрана помещений, в которых ведется работа с
ПДн, организация режима обеспечения безопасности в этих помещениях
должны обеспечивать сохранность носителей ПДн и средств защиты
информации, а также исключать возможность неконтролируемого
проникновения или пребывания в этих помещениях посторонних лиц.
Помещения, в которых располагаются технические средства
информационных систем ПДн или хранятся носители ПДн, должны
соответствовать требованиям пожарной безопасности, установленным
действующим законодательством Российской Федерации.
24. Мероприятия при возникновении обстоятельств непреодолимой
силы (форс-мажор)
В случае обстоятельств непреодолимой силы, возникших в результате
событий чрезвычайного характера, повлекших нарушения прав субъектов
ПДн, Администрация города Тамбова освобождается от ответственности при
наличии доказательств указанных выше обстоятельств.
В случае возникновения обстоятельств непреодолимой силы и
нарушения прав субъектов ПДн, связанных с такими обстоятельствами,
Администрация города Тамбова принимает все меры для извещения субъекта
ПДн.
1/--страниц
Пожаловаться на содержимое документа